Защитный код AutoFill: эта новая функция iOS представляет угрозу безопасности для онлайн-банкинга?

Предполагается, что новая функция для iPhone в iOS 12 - автозаполнение кода безопасности - улучшит удобство двухфакторной аутентификации, но может подвергнуть пользователей риску стать жертвой мошенничества в онлайн-банках.

Двухфакторная аутентификация (2FA), которую часто называют двухэтапной верификацией, является важным элементом для многих систем безопасности, особенно тех, которые подключены к сети и имеют удаленный доступ. В большинстве случаев он обеспечивает расширенную безопасность, проверяя, есть ли у пользователя доступ к устройству. Например, в 2FA на основе SMS пользователь регистрирует свой номер телефона в онлайн-сервисе. Когда эта служба видит попытку входа в систему для соответствующей учетной записи пользователя, она отправляет одноразовый пароль (OTP), например, от четырех до шести цифр, на зарегистрированный номер телефона. Законный пользователь затем получает этот код и может заключить его в кавычки в процессе входа в систему, но подражатель этого не сделает.

В недавней разработке Apple, объявленной на конференции разработчиков WWDC18 они намерены автоматизировать этот последний шаг для улучшения взаимодействия с пользователем 2FA с помощью новой функции, которая должна быть введена в iOS в версии 12. Функция автозаполнения кода безопасности , доступная в настоящее время разработчикам в бета-версии, позволит мобильным устройство для сканирования входящих SMS-сообщений на наличие таких кодов и предлагать их в верхней части клавиатуры по умолчанию.

Предполагается, что новая функция для iPhone в iOS 12 - автозаполнение кода безопасности - улучшит удобство двухфакторной аутентификации, но может подвергнуть пользователей риску стать жертвой мошенничества в онлайн-банках

Описание новой функции автозаполнения кода безопасности iOS 12 (источник: яблоко )

В настоящее время эти коды SMS полагаются на пользователя, активно переключающего приложения и запоминающего код, что может занять пару секунд. Некоторые пользователи используют альтернативные стратегии, такие как запоминание кода из баннера предварительного просмотра и быстрое его ввод. Новая функция Apple от iOS потребует от пользователя лишь одного нажатия. Это сделает процесс входа быстрее и менее подвержен ошибкам, что значительно улучшит удобство использования 2FA. Это также может привести к увеличению потребления 2FA среди пользователей iPhone.

Пример функции автозаполнения кода безопасности на iPhone (источник: яблоко )

Если пользователи синхронизируют SMS со своими MacBook или iMac, существующая функция пересылки текстовых сообщений будет выталкивать коды со своего iPhone и включать автозаполнение кода безопасности в Safari.

Пример функции автозаполнения кода безопасности, синхронизированной с macOS Mojave (источник: яблоко )

Снижение трения во взаимодействии с пользователем, чтобы улучшить освоение технологий для новых пользователей и повысить удобство использования и удовлетворенность для существующих пользователей, не является новой концепцией. Это не только подробно обсуждалось в научных кругах, но также является общей целью в отрасли, например, в банковской сфере. Это видно по тому, как финансовый а также оплата промышленность поощряет бесконтактные платежи (Near Field Communication - NFC), что делает транзакции ниже определенного порога намного быстрее, чем традиционные платежи с использованием чипа и PIN.

Как архитекторы и дизайнеры, особенно в области компьютерной безопасности, мы знаем, что при внесении изменений в одну часть системы нам необходимо оценить, как это влияет на каждую другую часть, с которой она взаимодействует. В случае с предстоящей функцией автозаполнения кода безопасности в iOS 12 это включает не только 2FA, но также номера аутентификации транзакций (TAN).

Аутентификация транзакции, в отличие от аутентификации пользователя, используется для подтверждения правильности намерения действия, а не только для идентификации личности пользователя. Это наиболее широко известно из онлайн-банкинга, где это важный инструмент для защиты от сложных атак. Например, злоумышленник может попытаться обмануть жертву, чтобы она перевела деньги на другой счет, нежели тот, который предназначался. Для достижения этого противник может использовать методы социальной инженерии, такие как фишинг и фишинг и / или инструменты, такие как Вредоносная программа Man-in-the-Browser ,

Аутентификация транзакции используется для защиты от этих злоумышленников. Существуют различные методы, но один из них имеет отношение к делу - который является одним из наиболее распространенных методов, используемых в настоящее время - банк суммирует существенную информацию любого запроса транзакции, дополняет эту сводку TAN с учетом этой информации и отправляет эти данные в зарегистрированный номер телефона через SMS. Пользователь или клиент банка в этом случае должен проверить сводку и, если эта сводка соответствует его или ее намерениям, скопировать TAN из SMS-сообщения на веб-страницу.

Пользователь или клиент банка в этом случае должен проверить сводку и, если эта сводка соответствует его или ее намерениям, скопировать TAN из SMS-сообщения на веб-страницу

Слева: TAN по SMS для онлайн-банкинга. Справа: ОТП по СМС для входа.

OTP на основе SMS, использованный для проверки подлинности 2FA или транзакции, подвергся критике за то, что он не является наиболее безопасным выбором технологии. Например, в последние годы Национальный институт стандартов и технологий (NIST) изначально публичная критика СМС как средство связи для безопасной аутентификации, помечая ее как небезопасную и непригодную для строгой аутентификации. Однако в последнее время они смягчили свой язык и вместо устарела СМС 2FA , Тем не менее, это все еще считается достаточно безопасно будет использоваться для строгой аутентификации клиентов в новом ЕС Директива об оплате услуг 2 ,

Эта новая функция iOS создает проблемы для использования SMS в аутентификации транзакций. Применительно к 2FA пользователю больше не нужно открывать и читать SMS-сообщения, из которых код уже был извлечен и представлен в удобном виде. Код обнаруживается в сообщении на основе эвристики, такой как близость к словам «код» или «код доступа», которые используются в сообщениях, доставляющих коды 2FA и TAN. После этого предлагается автозаполнение кода безопасности на веб-странице или в приложении, если поле ввода помечено соответствующим образом.

Если эта функция не сможет надежно различить OTP в 2FA и TAN при аутентификации транзакций, мы можем ожидать, что пользователи также извлекут и представят свои TAN без контекста существенной информации, например суммы и назначения транзакции. Тем не менее, именно проверка этой важной информации имеет важное значение для безопасности. Примеры, в которых код безопасности автозаполнения может представлять риск для безопасности онлайн-банкинга, включают в себя атаку «Человек посередине» на пользователя, получающего доступ к онлайн-банкингу из Safari на своем MacBook, внедрения нужного тега поля ввода, если это необходимо, или места, где вредоносный сайт или приложение получает доступ к законной банковской службе банка.

Даже если новая функция автозаполнения кода безопасности может различать эти SMS-сообщения, пользователи неизбежно привыкнут к удобству этой функции. Они могут вполне разумно ожидать аналогичного удобства от других технологий безопасности, не осознавая, что это может быть нереально. Это, в свою очередь, может препятствовать внедрению более безопасных технологий, таких как преданный аппаратные средства жетоны в аутентификации транзакции.

Мы воодушевлены ожидаемым улучшением удобства использования 2FA и надеемся, что это побудит больше пользователей iOS принять 2FA. Но в качестве социально-технической среды мы вряд ли можем предсказать будущее. Проверка подлинности транзакций на основе SMS вполне может оставаться устоявшейся технологией в онлайн-банках, поскольку банки несут ответственность за клиентов, если они не проверяют информацию о транзакциях. Является ли обоснованным возложение бремени на пользователей, которые ведут себя так, как поощряется технологиями, является философским и правовой вопрос.

В OneSpan а также Университетский колледж Лондона В настоящее время мы изучаем взаимодействие между удобством использования, трением и безопасностью аутентификации транзакций. Этот проект сфокусирован на том, как неправильные представления могут быть связаны со свойствами безопасности. Мы оцениваем современные технологии и исследуем возможные улучшения. Этот проект финансируется исследовательской и инновационной программой Horizon 2020 Европейского Союза в рамках грантового соглашения Марии Склодовской-Кюри № 675730.

Обновление (2018-06-13): после обсуждения с комментариями Винсента Хауперта я обновил статью, добавив больше информации о том, как автозаполнение кода может быть использовано при атаке, добавил ссылки на конференцию разработчиков Apple WWDC18 и обновил встроенные картинки.

Похожие

Особенности iOS 12: все новое в обновлении Apple
Обзор iOS 12: дата выхода, новые функции и поддерживаемые телефоны iOS 12 - это производительность. Основная цель - повышение скорости не только в новых iPhone, но и в старых (например, iPhone 5S, iPhone SE) устройствах. Также есть пара новых функций, таких как Memoji и улучшенные уведомления. Читайте дальше обо всем, что стоит знать об iOS 12. Связанные с: Как скачать iOS
Windows 10 запущена, новая операционная система Microsoft
Windows 10 официально доступна. По данным Microsoft, он будет доступен для покупки в 190 странах. Пользователи старых систем, то есть популярных «семерок» и «восьмерок», смогут скачать его бесплатно.
10 обязательных расширений Safari
... для ИТ-специалистов, которые хотят расширить возможности Safari для работы и дома. Расширения производительности Кнопка браузера Pinterest Кнопка браузера Pinterest это визуальный инструмент закладки, который помогает пользователям сохранять ссылки или изображения из любой точки Интернета. Рецепты, фотографии путешествий, списки покупок и вдохновляющие мемы могут
Новая премиальная линейка телевизоров LG OLED 4K HDR в Польше
Впервые на польском рынке компания LG Electronics представила новейшую линейку телевизоров OLED TV 4K на 2016 год. Предложение этого года для польских потребителей включает модель телевизора LG SIGNATURE OLED G6, лауреата премии CES Best Innovation Award за инновации 2016 года, и серию с плоскими и изогнутыми экранами LG OLED 4K: E6, C6 и B6. Это первый такой широкий ассортимент телевизоров с органическими матрицами на рынке. Телевизоры из супер-премиальной линейки LG OLED SIGNATURE G6
Как создать общие списки покупок с семьей или друзьями (Android и iOS)
Вы часто ходите в магазин и забываете что-то купить, даже если у вас есть список покупок? Мы не всегда забываем вводить все. Однако вы можете создавать общие списки покупок со своей семьей или друзьями - все, что вам нужно, - это одно приложение.
Мы хвалим вас! Большинство наших клиентов - послы образовательного портала Мы представляем результаты теста удовлетворен...
Мы хвалим вас! Большинство наших клиентов - послы образовательного портала Мы представляем результаты теста удовлетворенности, рекомендаций и рекомендаций для клиентов знаний и практики и образовательного портала, проведенного компанией «Маркетинговые отношения».
Нужно ли устанавливать антивирус на моем телефоне?
Статья из PCexpres : Подавляющее большинство из нас знает, что на наших компьютерах и ноутбуках должно быть установлено антивирусное программное обеспечение, чтобы обеспечить хотя бы базовую защиту данных. Но так ли это для смартфонов и планшетов? И касается ли это iPhone и iPad? Почему мы должны думать о безопасности и антивирусной защите? Важно отметить, что
Поправки к уставу Управления по химическим веществам
... для клиентов знаний и практики и образовательного портала, проведенного компанией «Маркетинговые отношения». Опрос SRP © был проведен в апреле и мае 2018 года компанией Marketing Relacji Sp. z o. o. среди клиентов четырех сайтов « Знания и практика» : www.portalfk.pl, www.portalkadrowy.pl,
Советы всем работникам, занятым в холодном микроклимате
... безопасности, указанные респондентами: Другие указанные преимущества: Онлайн тренинги и конференции Обслуживание клиентов Шаблоны документов Такие результаты обязывают! Мы благодарны за положительную оценку портала «Здоровье и безопасность». В то же время мы не останавливаемся на достигнутом - мы заботимся о дальнейшем развитии и улучшении тех областей, которые, по мнению наших клиентов, все еще нуждаются в улучшении.
Познакомьтесь с некоторыми из лучших антивирусов для iOS (5 вариантов)
IOS (в настоящее время версия 8) - это операционная система, используемая на мобильных устройствах Apple (iPhone, iPod, iPad). Это закрытая, более безопасная, более стабильная система (конечно, в зависимости от поколения оборудования - рассматриваемое оборудование) и с отличными характеристиками. Как и Android, он присутствует на смартфонах и планшетах от пользователей по всему миру (очевидно, производства компании Apple). Хотя и безопаснее, как всегда, мы не должны забывать, что киберпреступники
ТЕСТ: BlackBerry Z10
Дизайн, экран и меню Форма: сенсорный экран Размер: 13 х 6,56 х 0,9 см Вес: 137,5 грамм Дисплей: LCD, 4,2 дюйма, 1280 x 768 пикселей, емкостный, устойчивый к царапинам Сочетания клавиш: увеличение и уменьшение громкости, вкл / выкл / блокировка экрана, голосовое управление / отключение звука Входы / выходы: Micro-USB, Micro-HDMI, мини-джек 3,5

Комментарии

Как использовать код скидки в Матрасе?
Как использовать код скидки в Матрасе? Если вы уже определились с одним из приведенных выше кодов скидок, его использование является детской игрой. Все, что вам нужно сделать, это ввести код скидки в соответствующем поле, которое вы найдете после переключения на ваш заказ. Таким образом, скидка будет автоматически добавлена ​​к цене покупки. Черная
Эта операция может быть выполнена быстрее - поиграйте с ней, и если более быстрый путь станет очевидным, может быть, одноклассник может решить, что он делает?
Эта операция может быть выполнена быстрее - поиграйте с ней, и если более быстрый путь станет очевидным, может быть, одноклассник может решить, что он делает? Увидеть Вот для моего примера кода. Шаг четвертый: написать сценарий для распечатки температуры. Установите текстовый редактор, например Geany или SciTE, или используйте предустановленный Leafpad или аналогичный. Откройте редактор и скопируйте код, написанный
Эта статья полезна?
Эта статья полезна? да нет
Вам понравилась эта статья?
Вам понравилась эта статья? Поделись с другими!
Независимо от выбранного метода, почти гарантировано, что вам придется создавать некоторые представления, так почему бы не использовать дополнительные модули и / или код?
Независимо от выбранного метода, почти гарантировано, что вам придется создавать некоторые представления, так почему бы не использовать дополнительные модули и / или код? Вложение видов - это просто тип отображения видов, который присоединяется к другому виду просмотра (обычно это отображение страницы или отображение блока). Упрощая вещи, это можно представить так:
Вы были впечатлены iOS 12?
Вы были впечатлены iOS 12? Дайте нам знать в Твиттере @trustedreviews
Я вижу, что компании по разработке программного обеспечения для безопасности предлагают программное обеспечение для Android и есть ли приложение для защиты от вредоносных программ для iPhone?
Я вижу, что компании по разработке программного обеспечения для безопасности предлагают программное обеспечение для Android и есть ли приложение для защиты от вредоносных программ для iPhone?» - сообщество Apple Несмотря на это, Apple заявила, что разработала платформу iOS с защитой по своей сути, и вам не нужно антивирусное программное обеспечение для вашего устройства iOS. Многие пользователи по-прежнему хотят, чтобы антивирусное приложение для iPhone добавило дополнительный уровень
Как позаботиться о безопасности?
Как позаботиться о безопасности? К счастью, нам никогда не придется быть неземным, складывая свернутые записи в бюстгальтер, обувь, носки или трусы. Производители туристических гаджетов избавят нас от этой проблемы. Посмотрите, что они приготовили для нас: Пояс с хранилищем денег Это незаменимый гаджет, который гарантирует комфорт безопасной перевозки наличными. Он оснащен крошечным карманом, в котором вы можете хитро спрятать свои деньги. Карман застегивается
Apple также создала iOS с нуля, чтобы быть очень безопасным Безопасность смартфонов: могут ли айфоны получить вредоносное ПО?
Как позаботиться о безопасности? К счастью, нам никогда не придется быть неземным, складывая свернутые записи в бюстгальтер, обувь, носки или трусы. Производители туристических гаджетов избавят нас от этой проблемы. Посмотрите, что они приготовили для нас: Пояс с хранилищем денег Это незаменимый гаджет, который гарантирует комфорт безопасной перевозки наличными. Он оснащен крошечным карманом, в котором вы можете хитро спрятать свои деньги. Карман застегивается
Почему мы должны думать о безопасности и антивирусной защите?
Почему мы должны думать о безопасности и антивирусной защите? Важно отметить, что мы не просто используем смартфоны для телефонных звонков и отправки сообщений. по Global Mobile Money Report более 2,6 миллиарда человек используют смартфоны (эта цифра, вероятно, увеличится до 6,1 миллиарда в 2020 году) и до 69% используются для интернет-банкинга.

Нужно ли устанавливать антивирус на моем телефоне?
Но так ли это для смартфонов и планшетов?
И касается ли это iPhone и iPad?
Почему мы должны думать о безопасности и антивирусной защите?
Как использовать код скидки в Матрасе?
Эта операция может быть выполнена быстрее - поиграйте с ней, и если более быстрый путь станет очевидным, может быть, одноклассник может решить, что он делает?
Эта статья полезна?
Вам понравилась эта статья?
Независимо от выбранного метода, почти гарантировано, что вам придется создавать некоторые представления, так почему бы не использовать дополнительные модули и / или код?
Независимо от выбранного метода, почти гарантировано, что вам придется создавать некоторые представления, так почему бы не использовать дополнительные модули и / или код?